„კასპერსკის ლაბორატორიის“ მკვლევარებმა აღმოაჩინეს, რომ ჩინურ ენაზე მოლაპარაკე LuoYu კიბერჯგუფს შეუძლია გაავრცელოს მავნე პროგრამა WinDealer, რომელსაც ძალუძს განხორციელოს ისეთი ტიპის შეტევა,როგორიცაა „ადამიანი გვერდზე“ (man-on-the-side).
კომპანიის ექსპერტების აზრით, ეს არის თავდასხმები, რომლებიც ხელმისაწვდომია რამდენიმე ყველაზე რესურსული თავდამსხმელისთვის, რომლის დროსაც მავნე პროგრამა შეჰყავთ მსხვერპლის ლეგიტიმურ ქსელურ ტრაფიკში. კამპანიის მთავარი სამიზნეები არიან უცხოური დიპლომატიური ორგანიზაციები, აკადემიური საზოგადოების წევრები, ასევე თავდაცვის, ლოჯისტიკური და სატელეკომუნიკაციო კომპანიები ჩინეთში. ასევე დაზარალდნენ გერმანია, ავსტრია, აშშ, ჩეხეთი, რუსეთი და ინდოეთი.
შეტევა man-on-the-side აგებულია შემდეგნაირად: თავდამსხმელი ხედავს მოთხოვნებს ქსელში არსებულ კონკრეტულ რესურსთან დაკავშირების შესახებ. ეს ხდება მონაცემთა გადაცემის გზით ან ISP-ის ქსელში სტრატეგიული პოზიციის გამო. შემდეგ ის პასუხობს მსხვერპლს უფრო სწრაფად, ვიდრე ლეგიტიმური სერვერი და აგზავნის მოთხოვნილი ფაილის ინფიცირებულ ვერსიას. მაშინაც კი, თუ თავდამსხმელები წარმატებას ვერ მიაღწევენ პირველად, ისინი აგრძელებენ ცდას, სანამ არ დააინფიცირებენ მოწყობილობების უმეტესობას ჯაშუშური პროგრამით.
მისი დახმარებითვე შეგიძლიათ ნახოთ თქვენს მოწყობილობაში შენახული ნებისმიერი ფაილი და ჩამოტვირთოთ ისინი, ასევე მოძებნოთ საკვანძო სიტყვებით.
გავრცელების ამ მეთოდის გარდა, WinDealer-ს აქვს კიდევ ერთი საინტერესო ფუნქცია. ხშირად, მავნე პროგრამა შეიცავს მყარი კოდირებულ ბრძანებისა და კონტროლის სერვერს. თუ ინფორმაციული უსაფრთხოების სპეციალისტმა მიიღო ასეთი სერვერის მისამართი, მაშინ მას შეუძლია დაბლოკოს იგი და გაანეიტრალოს საფრთხე. მეორეს მხრივ, WinDealer იყენებს ალგორითმს IP მისამართების გენერირებისთვის და შემდეგ ირჩევს 48000 მისამართიდან იმას, რომელთან იმუშავებს სერვერად. ცხადია, ოპერატორები ვერ აკონტროლებენ სერვერების ასეთ რაოდენობას.
„2021 წლისთვის ეს ჯგუფი შეუერთდა იმ მცირერიცხოვანთა კლუბს, რომლებსაც შეუძლია მანიპულირება ქსელის ტრაფიკით მსხვერპლამდე. ლეგიტიმური პროგრამების ინფიცირებული დისტრიბუციის გარდა, ამაზე მიუთითებს საკონტროლო სერვერის ქსელის მისამართის არჩევა გენერირებული ვარიანტების დიდი რაოდენობით“, – წერს კასპერსკის ლაბორატორიის კიბერუსაფრთხოების წამყვანი ექსპერტი დენის ლეგეზო, – დაცვის თვალსაზრისით, მომხმარებლებმა უნდა გაითვალისწინონ, რომ HTTPS- ტრაფიკის ჩატვირთვა ბევრად უფრო რთულია და თუ ქსელში არ არის სანდო ოპერატორი, ხოლო VPN ვარიანტი რაიმე მიზეზით მიუწვდომელია, მაშინ მაინც არ უნდა ჩამოტვირთოთ სკრიპტები და პროგრამები HTTPდაუშიფრავი პროტოკოლით.
დისტრიბუციების ჩამოტვირთვამდე შეამოწმეთ, რომ საიტი იძლევა არა მხოლოდ დაშიფრულ გვერდებს, არამედ ფაილებსაც.
WinDealer-ის მსგავსი რთული საფრთხისგან თავის დასაცავად, „კასპერსკის ლაბორატორია“ რეკომენდაციას უწევს კომპანიებს ჩაატარონ კიბერუსაფრთხოების აუდიტი თავიანთ ქსელებში და გამოასწორონ აღმოჩენილი დაუცველობა; გამოიყენონ საბოლოო წერტილის აღმოჩენისა და რეაგირების გადაწყვეტა და პროდუქტი კომპლექსურ მიზანმიმართულ შეტევებთან საბრძოლველად, ასევე უზრუნველყონ, რომ მონიტორინგის ცენტრის (SOC) თანამშრომლებს ჰქონდეთ წვდომა უახლეს ანალიტიკაზე და რეგულარულად აუმჯობესებენ თავიანთ უნარებს პროფესიული ტრენინგის საშუალებით; გამოიყენონ გადაწყვეტილებები ბოლო მოწყობილობებისა და სპეციალიზებული სერვისების ყველაზე მოწინავე შეტევებისგან დასაცავად; თვალყური ადევნონ გაჩენილ საფრთხეებს, როგორიცაა Threat Intelligence Resource Hub, რომელიც უზრუნველყოფს უფასო წვდომას გლობალური წყაროებიდან მუდმივად განახლებულ ინფორმაციაზე.
